如何构建应用安全全生命周期解决方案——【DevSecOps】

    作者:杭州孝道科技有限公司 【范丙华】

1.  为何需要建立 DevSecOps?

1.1应用软件安全风险的影响

面对当前万物智能互联、数字经济高速发展的大环境下,应用软件安全对于推动我国数字经济发展、维护社会稳定及国家安全都将起着至关重要的地位和作用。据 Gartner报告显示:超过 80% 的网络攻击都发生在应用层,所披露的漏洞70%以上与应用安全有关,特别是SQL注入、XSS、CSRF、目录遍历等漏洞,所以应用安全将是安全保障的重中之重。

1.2安全需要前置

当前以计算、大数据及人工智能等为核心技术,构建了万物互联的数字智能世界,消除了原有传统网络和应用的边界,让原本边界安全防护理念付诸东流,给安全带来了极大的挑战。

在万物互联背景下,我们要从 “有病治病”向“增强体质”的思维转变,要围绕以“业务和数据为核心”,以“ 在万物互联时代下,不仅需要更多的安全软件,而且需要更安全的软件 ”为安全理念,将安全工作前置在开发测试等各个环节,达到“安全即代码、治标亦治本”的安全目标。如未能 上线前和 生产过程中进行持续测试并且修复安全问题 ,就无法确保应用上线及投产后其持续改进的安全性。安全前置,不仅大大提升应用软件的安全能力,而且可在最早阶段、用最低成本解决最大比例的安全风险,所以安全前置是万物互联环境下的核心创新安全理念和最佳安全赋能措施。

1.3新技术新应用所带来的新风险

万物互联的数字智能世界,推动着全球数字经济的高速发展,面对于云上应用、大数据应用、产业互联网以及物联网智能应用软件,消除了原有网络和应用的安全边界,当前主流检测与防护技术都难以满足万物互联背景下的安全赋能,特别针对当前容器应用、 API微服务等新应用架构和应用加密、防重放、带验签等新应用场景下的安全赋能。

我们以 “万物互联时代,不仅需要更多的安全软件,而且需要更安全的软件”为安全核心思想,让安全贯穿开发至运营的各个环节。利用AI和自动化等新技术实现安全新赋能,将安全与软件高度耦合的交互式应用安全检测与防护技术,让安全与业务高耦合、相同步、相适应,不仅为用户提供更安全的软件,同时也满足在万物互联环境对应用软件的安全防护。

       1.4运行 防护 也是重要组成部分

既不能 陷入 “将安全漏洞的数量降为零”的错误追求中,安全开发 测试的负担识别加重,且很可能成为业务发展的一个障碍 所以持续的风险和信任评估以及对应用程序漏洞要进行优先级排序 ,可以 通过使用运行时保护控制来补偿已知较低风险的脆弱性或未知脆弱性的剩余风险

2.  构建 DevSecOps工作的重点和难点

DevSecOps安全解决方案 ,以 “万物互联时代,不仅需要更多的安全软件,而且需要更安全的软件”为核心安全理念 让安全贯穿整个业务生命周期的 各个 环节 ,包括技术开发、测试、发布、上线、部署及运营等各个阶段。从而构建新一代安全、高效、合规的全生命周期应用安全运营体系,从安全供给侧为 “数字经济”保驾护航。

如何构建应用安全全生命周期解决方案——【DevSecOps】

       2.1 组织文化和思维方式的转变

  • 安全前置

DevSecOps安全解决方案以基于“万物互联时代,不仅需要更多的安全软件,而且需要更安全的软件”为核心安全理念;需要将安全工作前置在开发、测试等的各个环节,实现产业互联背景下的安全赋能。

  • 安全人人有责

让开发、安全、运维共同拥抱 DevSecOps理念与文化,需要改变过去只有安全人员对安全负责的态度和观念,不能 让仅极少数的安全人员,被视为是对项目推进的阻碍、内部生产效率的破坏 ,必须能让开发、运维和安全都应该对安全负责,协同工作、共同担当。

  • 安全服务经营

安全目标是应用系统的安全风险降低到用户可接受的程度并满足合规性的要求; 如果没有监管方面的缺陷,那么可以接受多少风险并不取决于信息安全,而是由 业务应用 所有者最终做出的商业决策

  • 安全全生命周期

以基于 “万物互联时代,不仅需要更多的安全软件,而且需要更安全的软件”为核心安全理念和安全服务经营的宗旨。从而构建基于应用的全生命周期安全运营体系, 让安全贯穿整个业务生命周期(从开发到运营)的 各个 环节 ,包括技术开发、测试、上线及运营等各个阶段的安全赋能。从而构建新一代安全、高效、合规的全生命周期应用安全运营体系,从安全供给侧为 “数字经济”保驾护航。

2.2安全集成流程自动化

信息安全要为企事业单位的经营和发展服务, 业务发展和工作效率是企业 发展 的关键要素 核心竞争力 信息安全工作必须适应开发至运营各个环节 工具及流程,不 因信息安全工作 开发 运维工作者离开他们熟悉的工具链环境 ,让工作流程变复杂、工作效率更低,而是要让 IT工作者时间更有商业价值。DevSecOps是将安全通过AI和自动化检测技术高效、透明地融入开发至运营的各个环节,集成到开发者的开发环境(IDE)和CI/CD工具链的工具中,不改变原有的工作环境和生态链,从而构建便捷、高效、安全及合规的应用安全能力。

2.3利用新技术赋能新安全

       利用新技术推动安全来贯穿整个业务全生命周期的各个环节,满足云上应用、大数据应用、工业互联网等新技术应用架构下的安全赋能,从而更加有效保障其方案实施的便捷性、安全性和合规性。同时,应更好适应现有 容器 微服务等 云原生技术 应用 架构和 识别开源软件 第三方代码库 及敏感信息泄漏等 安全风险 的能力。

如交互式应用安全测试系统 -IAST,利用运行时非执行态的核心安全检测技术,通过功能操作即可自动化输出安全结果, 精确定位易受攻击的代码行并提供了详细的上下文 修复示例 帮助 开发团队可以快速修复漏洞 。可完全解决当前漏洞扫描系统存在较高误报率;人工渗透测试受技术专业能力的局限,而且费时费力,无法满足产品快速迭代的需求;也完全满足当前容器应用、 API、微服务等新应用架构和应用加密、防重放、带验签等新应用场景下的安全风险。

如何构建应用安全全生命周期解决方案——【DevSecOps】

如何构建应用安全全生命周期解决方案——【DevSecOps】

通过自适应应用安全架构和智能检测算法,可实现执行类 0 day应用漏洞的实时检测与防护,达到运行时”自我保护”的安全能力;同时可对敏感信息、运行环境及三方组件进行实时安全检测和分析;完全适用云上应用、大数据技术应用和物联网智能互联等应用平台的安全检测和防护。

原文 

https://www.aqniu.com/vendor/59194.html

本站部分文章源于互联网,本着传播知识、有益学习和研究的目的进行的转载,为网友免费提供。如有著作权人或出版方提出异议,本站将立即删除。如果您对文章转载有任何疑问请告之我们,以便我们及时纠正。

PS:推荐一个微信公众号: askHarries 或者qq群:474807195,里面会分享一些资深架构师录制的视频录像:有Spring,MyBatis,Netty源码分析,高并发、高性能、分布式、微服务架构的原理,JVM性能优化这些成为架构师必备的知识体系。还能领取免费的学习资源,目前受益良多

转载请注明原文出处:Harries Blog™ » 如何构建应用安全全生命周期解决方案——【DevSecOps】

赞 (0)
分享到:更多 ()

评论 0

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址